.png)
Microsoft Exchange, SolarWinds, Verkada Breaches : Pourquoi l'hygiène de sécurité est plus importante que jamais
Quelques mois seulement après le début de l'année 2021, trois incidents cybernétiques ont déjà fait les gros titres : la compromission de SolarWinds Orion, les attaques ciblant les vulnérabilités "zero-day" de Microsoft Exchange et le piratage de Verkada (dont nous ne pourrons peut-être pas comprendre pleinement l'impact avant un certain temps). Ces événements nous rappellent la croyance désormais bien ancrée en matière de sécurité, selon laquelle une violation est inévitable. Ce qui compte en fin de compte, c'est la mesure dans laquelle les individus et les organisations peuvent limiter l'impact d'une violation et l'importance d'une hygiène de sécurité de base en temps de crise.
L'hygiène de sécurité consiste en des comportements sains en matière de sécurité, amplifiés par la mise en œuvre de processus de soutien et de contrôles techniques. Si l'on considère le cycle de vie d'une attaque - de la reconnaissance à la compromission initiale et aux activités postérieures à la compromission - l'investissement continu d'une organisation cible dans l'hygiène de sécurité rend plus difficile la réalisation des objectifs d'un attaquant en l'empêchant d'accéder aux données cibles et en augmentant ses chances d'être détecté.
En examinant les trois incidents majeurs mentionnés dans le contexte de l'hygiène de la sécurité, nous pouvons identifier les domaines dans lesquels il est possible d'améliorer les soins.
Verkada breach
Les attaquants ont pu contourner les processus de gestion des comptes privilégiés pour obtenir un accès de "super-utilisateur" aux caméras sur plusieurs sites de clients. En outre, les clients qui n'ont pas séparé efficacement les caméras du reste de leur réseau d'entreprise ont laissé aux attaquants la possibilité de se déplacer latéralement et de compromettre d'autres actifs.
Là où une bonne hygiène aurait pu être utile : une meilleure gestion globale des comptes qui a mis en œuvre un contrôle d'accès basé sur les rôles (RBAC) avec le moins de privilèges possible et qui a exploité le MFA pour les comptes hautement privilégiés, ainsi que le contrôle et la détection des mouvements latéraux.
Vulnérabilités zero-day d'Exchange
L'existence de multiples vulnérabilités non corrigées a permis à la fois l'exfiltration non authentifiée du contenu des boîtes aux lettres et le téléchargement de webshells pour faciliter la persistance et le mouvement latéral.
Là où une bonne hygiène aurait pu être utile : blocage du trafic inutile vers/depuis les serveurs Exchange, surveillance des événements de création de comptes et de gestion de groupes, surveillance des tentatives de connexion sortante vers/depuis des destinations inconnues, et collecte centralisée des événements Windows et des journaux du serveur IIS.
Compromis SolarWinds Orion
La compromission du processus de conditionnement d'un fournisseur a permis la livraison d'une mise à jour logicielle contenant une porte dérobée de type cheval de Troie qui a permis aux attaquants d'accéder directement aux clients utilisant Orion ; les attaquants ont ensuite tiré parti de l'accès privilégié (accordé par la plate-forme Orion) pour pénétrer plus avant dans le réseau cible.
Une bonne hygiène aurait pu être utile : bloquer le trafic inutile des serveurs SolarWinds Orion NPM vers Internet et surveiller les comptes bénéficiant du moindre privilège.
Améliorez votre cyberhygiène grâce à la micro-segmentation
Cette liste nous montre qu'une hygiène de sécurité de base peut être bénéfique même lorsque les États-nations sont les attaquants présumés. Ces pratiques simples permettent d'exposer les antagonistes au grand jour, augmentant ainsi les chances de tirer la sonnette d'alarme et d'endiguer l'incident.
En règle générale, certaines mises en œuvre technologiques visant à mettre en place une cyberhygiène peuvent être plus complexes et prendre plus de temps que d'autres. Par exemple, la mise en œuvre complète d'une technologie de gestion des accès privilégiés à l'échelle d'un réseau mondial peut prendre beaucoup plus de temps que le déploiement d'une microsegmentation basée sur l'hôte, qui ne nécessite aucune modification du réseau ou de l'architecture des hôtes et des charges de travail.
Dans ce cas, le contrôle de la microsegmentation, plus rapide à déployer et également très efficace, est à la fois un contrôle essentiel de prévention des mouvements latéraux et un contrôle compensatoire pendant que le déploiement de la gestion des privilèges est en cours.
La solution de microsegmentation d'Illumio contribue à améliorer l'hygiène cybernétique en fournissant :
- Une visibilité nettement améliorée des flux de trafic dans les centres de données et des données supplémentaires pour aider à détecter les mouvements latéraux non autorisés.
- Des politiques de microsegmentation pour limiter l'exposition à l'entrée et à la sortie de vos actifs les plus critiques. Dans le cas d'Exchange, il s'agit notamment de suivre les meilleures pratiques de Microsoft qui consistent à verrouiller l'accès aux seuls ports nécessaires. Pour plus d'informations, consultez le blog de Microsoft sur la sécurité.
En fin de compte, les organisations ne sont souvent pas conscientes des vulnérabilités qui sont à l'origine des violations. En vous concentrant sur ce que vous pouvez contrôler - comme une bonne hygiène de sécurité - vous renforcerez la position de votre organisation en matière de sécurité. Les récentes cyberattaques qui ont fait la une des journaux soulignent la nécessité d'adopter les principes de la confiance zéro afin de limiter les mouvements latéraux et de mieux contrôler les brèches.
Pour en savoir plus sur la façon dont la microsegmentation permet d' améliorer la surveillance et la protection d'Exchange et d'autres infrastructures critiques, consultez le site :
